Best of web

Introduction

Construire un site, ce n'est pas seulement choisir une jolie maquette. C'est confier à un prestataire la sécurité de vos données, celles de vos clients, et la conformité de votre vitrine en ligne. En Suisse romande, deux exigences se sont imposées : la souveraineté des données et le respect de la vie privée dès la conception (privacy by design).

Nous avons réuni ci-dessous les points qui séparent une agence sérieuse d'un prestataire pressé. Utilisez-les comme une checklist : posez chacune de ces questions avant de signer. Une bonne agence aura déjà les réponses — et les appliquera sans que vous ayez à les réclamer.

Le contrat de maintenance

Un site n'est jamais « fini ». Le CMS, les extensions, le serveur et les certificats de sécurité doivent être mis à jour en continu, sous peine de faille. Méfiez-vous d'une agence qui livre, encaisse et disparaît.

Une offre de maintenance digne de ce nom couvre au minimum :

• les mises à jour de sécurité du cœur, des extensions et du thème ;
• une surveillance (disponibilité, temps de réponse, alertes) ;
• des sauvegardes régulières et testées (voir le point 7) ;
• un canal de support clair, avec un délai d'intervention annoncé ;
• un reporting lisible, même pour un non-technicien.

À vérifier avant de signer : que se passe-t-il en cas de panne un dimanche ? Qui détient les accès et les codes ? Le contrat prévoit-il une réversibilité, c'est-à-dire la possibilité de récupérer votre site et de partir sans prise d'otage ?

L'hébergement en Suisse

Où vivent physiquement vos données ? La question n'est pas anodine. Un hébergement en Suisse vous place sous la nLPD (la loi suisse révisée sur la protection des données, en vigueur depuis septembre 2023) et hors de portée de certaines législations étrangères extraterritoriales.

Les avantages concrets :

• souveraineté juridique : vos données restent soumises au droit suisse ;
• confiance : un argument fort vis-à-vis de vos clients et patients ;
• latence réduite pour un public local ;
• simplicité de conformité pour les secteurs sensibles (santé, finance, juridique).

Demandez où se trouvent les datacenters (et pas seulement le siège du fournisseur) et si les sauvegardes restent, elles aussi, en Suisse. Héberger en Suisse, c'est aussi rester hors de portée du Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données détenues par des entreprises américaines, même lorsque les serveurs sont en Europe.

Selon vos besoins :

• Infomaniak — entreprise genevoise indépendante, données exclusivement en Suisse, datacenters parmi les plus écologiques d'Europe (énergie renouvelable, récupération de chaleur). Un choix solide pour la grande majorité des sites et services.
• swissdataguard — pour des besoins de confidentialité ou de conformité plus pointus, lorsqu'on veut un cadre suisse renforcé.
• OVH — pourquoi pas, comme acteur européen pour des configurations techniques exigeantes ou des budgets serrés, en gardant à l'esprit que l'ancrage juridique diffère de l'option 100 % suisse.

La collecte des données personnelles

Le meilleur moyen de protéger une donnée, c'est de ne pas la collecter. C'est le principe de minimisation, au cœur de la nLPD comme du RGPD.

Ne collectez que ce dont vous avez besoin sur le moment, puis supprimez sans tarder ces informations dès qu'elles ne sont plus nécessaires. Un formulaire de contact n'a pas besoin de la date de naissance ; une newsletter n'a besoin que d'un e-mail.

Quelques réflexes de bonne agence :

• chaque champ de formulaire est justifié par une finalité réelle ;
• une durée de conservation est définie, puis appliquée automatiquement ;
• l'utilisateur sait pourquoi on lui demande une information et combien de temps elle sera gardée ;
• un point de contact existe pour exercer ses droits (accès, rectification, effacement).

Les chatbots

Un chatbot peut améliorer le service… ou exfiltrer discrètement vos conversations vers des serveurs étrangers. Avant d'en installer un, posez trois questions : où sont traitées les données, par qui, et pour combien de temps ?

Points de vigilance :

• de nombreuses solutions « clé en main » transitent par des serveurs hors de Suisse, voire entraînent des modèles d'IA sur vos échanges ;
• le visiteur doit être informé qu'il parle à une machine et savoir où vont ses messages ;
• évitez de faire saisir des données sensibles (santé, identité, paiement) dans un chatbot tiers ;
• privilégiez les solutions hébergées en Suisse ou en Europe, avec une politique de conservation claire.

Les scripts et les captchas

Chaque script externe ajouté à une page est une porte ouverte sur un tiers. Les captchas sont les coupables les plus fréquents : un reCAPTCHA classique transmet l'adresse IP et le comportement de navigation du visiteur à un acteur étranger, souvent avant tout consentement.

Les bonnes pratiques :

• limiter le nombre de scripts tiers au strict nécessaire ;
• préférer un captcha respectueux de la vie privée (solutions suisses ou européennes, sans pistage) ou des méthodes anti-spam discrètes (honeypot, question simple) ;
• auto-héberger ce qui peut l'être (polices, bibliothèques JavaScript) plutôt que d'appeler un service distant ;
• charger les scripts tiers uniquement après consentement quand ils ne sont pas strictement nécessaires.

Un CDN (réseau de diffusion de contenu) accélère le chargement… mais transmet l'adresse IP de chaque visiteur à un tiers, souvent hors de Suisse. Le cas le plus courant : les polices Google ou les filtres Cloudflare appelés à distance dès l'ouverture de la page. Ce n'est pas un risque théorique : un tribunal allemand (Munich, janvier 2022) a condamné un site pour avoir transmis l'adresse IP de ses visiteurs à Google via Google Fonts chargé en CDN, sans consentement — l'adresse IP étant considérée comme une donnée personnelle.

La règle : pas de CDN sans le consentement de l'utilisateur. Il en va de même pour les captchas et autres filtres Cloudflare.

Comment faire proprement :

• auto-héberger les polices, icônes et bibliothèques chaque fois que possible ;
• réserver les services distants aux cas où le consentement a été recueilli ;
• documenter, dans la politique de confidentialité, chaque tiers réellement sollicité.

Les sauvegardes

Une sauvegarde qui n'a jamais été restaurée n'est pas une sauvegarde : c'est un espoir. Une agence sérieuse traite la sauvegarde comme une assurance qu'on teste régulièrement.

Les critères d'une stratégie solide :

• des sauvegardes automatiques et fréquentes (idéalement quotidiennes) ;
• une copie hors site (et, en Suisse, idéalement hors du même datacenter) ;
• une durée de rétention permettant de remonter plusieurs jours en arrière ;
• des restaurations testées : on vérifie qu'on sait vraiment remettre le site en ligne ;
• des sauvegardes elles-mêmes hébergées en Suisse, pour rester cohérent avec le point 2.

Les cookies

Le cookie n'est pas interdit — le cookie déposé en douce l'est. Pas de dépose sauvage : vous devez demander l'autorisation avant de poser un cookie non essentiel.

Concrètement :

• les cookies strictement nécessaires (panier, session, sécurité) ne requièrent pas de consentement ;
• tous les autres (mesure d'audience, publicité, réseaux sociaux) attendent un « oui » explicite ;
• le refus doit être aussi simple que l'acceptation — pas de bouton « tout accepter » géant face à un « gérer mes choix » caché ;
• aucun cookie de pistage ne se dépose avant le choix de l'utilisateur ;
• le bandeau explique clairement à quoi servent les cookies.

Les licences

Sous WordPress, beaucoup de thèmes et d'extensions premium fonctionnent par abonnement annuel. Tant que la licence est active, vous recevez les mises à jour et les correctifs de sécurité. Dès qu'elle expire, l'extension continue de tourner… mais cesse d'être mise à jour — et devient une faille silencieuse. C'est l'un des trous de sécurité les plus fréquents sur les sites WordPress mal suivis.

Les réflexes d'une bonne gestion :

• tenir un inventaire des licences (qui, quoi, échéance, à quel nom) ;
• s'assurer qu'elles sont enregistrées au nom du client, jamais au nom de l'agence ;
• budgéter le renouvellement plutôt que de le découvrir à la première faille ;
• préférer, quand c'est possible, des briques libres (GPL) et pérennes, pour réduire la dépendance.

La logique vaut au-delà de WordPress : toute brique sous licence doit être traçable, reconductible et transférable.

Au-delà de la checklist : les autres piliers d'un site réussi

La vie privée et la maintenance sont la fondation. Mais quelques piliers de plus distinguent un bon site d'un site moyen :

• Performance et éco-conception : un site léger se charge vite, se référence mieux et consomme moins. Soignez le poids des pages, l'optimisation des images et le nombre de requêtes. La sobriété numérique est autant écologique qu'économique.
• Accessibilité : trop souvent oubliée. Contrastes suffisants, navigation au clavier, textes alternatifs sur les images, structure de titres cohérente. Un site accessible touche plus de monde et envoie de bons signaux aux moteurs de recherche.
• Référencement (SEO) propre : structure technique saine, contenus utiles rédigés pour les humains, métadonnées soignées — sans bourrage de mots-clés ni techniques douteuses qui finissent par pénaliser.
• Mobile d'abord : la majorité du trafic est mobile. Le site doit être pensé pour le petit écran, pas seulement « adapté ».
• Mesure d'audience éthique : préférez une solution comme Matomo, auto-hébergée et configurable sans cookies, plutôt que des outils qui transfèrent vos statistiques — et celles de vos visiteurs — à l'étranger.
• Propriété et réversibilité : assurez-vous d'être propriétaire de votre nom de domaine, de votre hébergement et de votre code, avec tous les accès. C'est ce qui vous permet de partir librement le jour venu.

Les pièges les plus fréquents

• Ne pas posséder ses propres accès. Le piège numéro un : domaine, hébergement, code et comptes d'administration au nom de l'agence. Le jour où vous voulez partir, vous êtes prisonnier.
• Les plateformes « tout-en-un » propriétaires (type Wix ou Squarespace) : pratiques au début, mais réversibilité limitée, données hors de Suisse et dépendance totale à un éditeur.
• Le site « cadeau » sans contrat clair : pas de maintenance, pas de sauvegarde, pas de propriété définie — la facture arrive plus tard.
• Les trackers tiers activés par défaut (Google Analytics, pixels publicitaires, polices et captchas en CDN) qui rendent le site non conforme dès le premier visiteur.
• Le bandeau cookies alibi qui ne propose pas de vrai refus.
• Les extensions empilées sans inventaire ni mise à jour, et les licences expirées qui ne corrigent plus rien.
• Le chatbot IA non maîtrisé qui hallucine ou exfiltre les questions de vos clients hors de Suisse.
• L'absence de stratégie de contenu : un beau site sans contenu vivant ni responsable identifié se dégrade en quelques mois.

En résumé : votre checklist « Best Of »

Avant de signer avec une agence, vérifiez qu'elle coche ces cases :

1. Besoin qualifié : la techno (WordPress, Wagtail ou statique) découle de votre rythme de publication, pas d'un réflexe.
2. Contrat de maintenance clair, avec support et réversibilité.
3. Hébergement en Suisse, datacenters et sauvegardes compris.
4. Collecte minimale des données, avec suppression dès qu'elles deviennent inutiles.
5. Chatbots maîtrisés : on sait où vont les conversations.
6. Scripts et captchas sobres et respectueux de la vie privée.
7. Aucun CDN ni filtre Cloudflare chargé sans consentement.
8. Sauvegardes automatiques, externalisées et réellement testées.
9. Cookies posés uniquement après autorisation, refus facile.
10. Licences inventoriées, à votre nom, et renouvelées à temps.

Une agence qui applique ces huit principes ne vous vend pas seulement un site : elle vous évite des ennuis juridiques, protège vos visiteurs et renforce votre réputation.